数据中心建设专项方案.doc

1、XX关键机房改造方案4月目录目录2一、方案概述3（一）现实状况及业务情况分析3（二）数据中心和关键建设是什么3（三）综合运维平台建设4（四）数据信息安全建设4（五）平台迁移5（六）方案综述5二、数据中心机房建设6（一）基础信息6（二） 配电系统7（三） 空调系统8（四） 机房环境监控系统9（五） 方案介绍9（六） 机柜系统10（七） 防雷系统11（八） 接地处理方案11（九）消防系统12（十） 安防门禁12三、综合运维平台建设13（一） 网络拓扑13（二） 业务健康程度14（三）机房管理15（四）用户管理19四、信息数据安全建设20（一）开放兼容搜集海量日志 构建安全大数据仓库21（二）大数据

2、分析 正确定位全网关键风险21（三）构建安全知识库 降低运维技术门槛21（四）安全合规自查 等保自评轻松实现22五、平台迁移23（一） 现有业务搬迁23（二） 设备扩容23一、方案概述结合X市X局现有数据中心现实状况，此次建设分为四个部分进行建设（一）现实状况及业务情况分析现X市X局数据中心机房在市X局二级单位-X市X学院4楼平台。平台历经和X合作，后期逐步组建自己网络中心维护管理着数据中心业务，平台多个关键功效分析以下:做为X市X局及其各个区县X局总出口来确保下属各个区县互联网访问，提供市X局相关工作要求上传下达。处理基于X查询、X管理等关键业务平台。历经了X年XM到XM扩容。不过伴随各个区

3、县对于互联网资源爆炸式需求，各个区县独立业务上线。普遍放映出来问题是“慢”，怎样处理“慢”问题是重中之重。X年9月份，市X局下发了各个区县X局独立利用各个区县财政资金来处理本区域内物联网带宽资源问题，很好处理了各个区县“慢”问题。不过，X市X局数据中心不管是设备还是结构全部出现严重老化，无法愈加好确保X市X资源分发和访问。建立一个高可用、高安全数据中心势在必行 （二）数据中心和关键建设是什么数据中心顾名思义，第一是中心，其次是数据。那么建设一个什么样子中心尤为关键。中心承载着多种信息数据基础设备如互联网出口设备、关键数据交换设备、多种数据安全防护设备，数据存放平台设备。结合现实状况提议把数据中

4、心建设分为多个阶段第一阶段：数据中心基础设施建设一个标准数据中心机房硬件建设应包含：基础装修、门禁、安防、UPS、精密空调、机柜容量、防雷接地、消防、网络、服务器等组件，只有建设一个强大且优异平台，才能确保在5-8年采购信息化支持设备能力全力发挥作用。同时能够满足主管单位检验要求，即使资金有限不过应该全力确保（三）综合运维平台建设 现阶段业务管理情况分析：任何一个完善且健康数据中心必需管理是关键手段，怎样有效管理数据中心和一个数据中心能否把业务运行健康关键。X市X局数据中心10几年来使用管理手段比较单一，只能处理独立业务和设备，对于数据中心整体运行情况缺乏一个直观分析。怎样让此次建设数据中心表

5、现价值一个优异数据中心运行维护应该确保：1、上级单位参观可将建设方向，内容，及思绪全方面展现，表现建设效果。2、确保下属单位参观学习能够表现市X局优异性、高度性、强大支撑平台确保各个区县业务稳定高速运行。将业务健康度完全展现，将业务风险降至最低，将故障处理时间缩至最短。此平台应该还应含有功效：1、将整体业务拓扑结构完全展现，其中包含多种能够和信息化对接系统，比如：网络，服务器，PC，监控，安防，环境功力监测等系统 。城域网管理不像一般局域网，通常只需要关心网络设备和终端故障，需要从业务层面来管理，所以就需要一个好IT运行管理系统来提供强有力支撑。传统城域网建设会全部会碰到以下多个问题：1. 基

6、础网络好建设，资源平台怎么建？资源从哪里取得？2. 网络建好了，硬件全部是豪华高配，应用却用不起来，资源有没人用，怎样破解？3. 怎样合理利用网络资源带宽，让网络资源合理利用，不会造成网络资源浪费？这些全部是X城域网建设中，碰到难题。网络资源访问体验差，阻碍了教学模式变革；优异教学资源无法有效推广，资源利用率低；各校、各区存在信息孤岛，资源无法共享造成城市乡村存在数字鸿沟。（四）数据信息安全建设现代化数据中心安全一个是数据安全一个是链路通道安全。只有链路通道安全才能确保后台数据安全。建设一个等级保护3级安全网络所需要条件：1、 设备异构：各安全厂商对于不一样安全方向有不一样优势，所以一个大型数

7、据中心应采取不一样厂商安全产品，确保在每个安全领域全部有最好防护效果2、 统一管理：优异安全建设会采取不一样厂商产品，假如把一个又一个不一样厂商安全设备经过集中管理模式，会使安全等级深入完善3、 数据安全经过冗余、备份或虚拟化等手段进行确保。（五）平台迁移现阶段X市X局数据中心关键设备以下1. 关键出口设备2. 关键交换设备3. 关键箱式安全一体化设备4. 底采购安全防范设备 （六）方案综述此次X市X局数据中心建设在财政投资预算有限前提下关键进行基础设施建设：1. 建设高可用、高扩容、高质量数据中心机房2. 建设完善高效综合运行管理平台3. 建设数据信息安全管控平台4. 最终完成和原数据中心设

8、备对接和切割二、数据中心机房建设（一）基础信息X市X信息网新机房分为两层，一层为设计配电间和网络机房，二层设计为服务器机房，机房装修包含：地面部分、墙面部分、棚顶部分、隔断，墙面装饰及照明系统 。新机房一层平面示意图：新机房二层平面示意图：（二） 配电系统X市X信息网新机房配电间和网络机房相连，建设内容图所表示：依据机房现有情况及未来扩展需要，建设一套200KVA UPS,UPS配置独立后备蓄电池，支持满载负载一小时。UPS电源为大屏幕系统、中心机房服务器、存放设备、网络通讯设备、消防系统和应急照明系统供电，其它设备采取市电供电。机房配置一台总配电柜，含市电入户总开关一路，配置电量仪显示入户线

9、路电压；空调控制空开 2路，UPS输入空开2路，UPS输出空开2路；分空开48路（每机柜2路）；机房灯光回路空开三路（配电间，网络机房，服务器机房，）；每台机柜两路配电，采取6平方BV线铺设，PDU采取IEC接头。机房强电静电地板下铺设，采取镀锌铁槽走线。（三） 空调系统网络机房和服务器机房各配置一台精密空调，配电间配置一台立式空调。图中黄色部分所表示。机房空调及通风系统关键有两个作用：其一；给机房提供足够新鲜空气，为工作人员发明良好工作环境。维持机房对外正压差，避免灰尘进入，确保机房有愈加好洁净度。其二；维持机房温度、湿度和洁净度，为机房网络设备、服务器等设备提供一个安全运行环境。为使机房关

10、键设备和管理操作人员有一个良好工作环境，并使其能够安全、可靠地运行，发挥其最大工作效率，就要提供一个符合其运行标准要求机房环境。这就对机房空气制冷、制热、加湿、去湿、滤尘有严格标准要求。设备运行情況、使用寿命和工作环境有亲密关系，温度、湿度、洁净度就是工作环境关键原因。机房采取下送风上回风精密制冷空调。（四） 机房环境监控系统环境监控系统集中监控内容包含：电源监测、精密空调监测、UPS监测、漏水监测、温湿度监测、烟感监测、红外监测。网络视频监控系统，能够经过前端安装摄像机，对机房各关键部位进行图像监控，而且配置网络视频发送器，经过现有计算机网络传输各监控点监控图像，领导在各自办公室用微机进行监

11、视，在监控中心经过视频服务器和对应软件对前端监控图像进行视频报警录像。（五） 方案介绍对机房内机电设备，包含，UPS、专业精密空调进行集中监控和管理。系统必需可靠、安全、易用、易扩充。监测内容有：机房温湿度、配电及UPS、漏水、门禁、视频监控、精密空调、消防报警、防雷等系统，支持图像识别报警和自动统计视频图像，有数据统计和历史曲线记忆等功效，支持短信报警，支持基于网络远程监控和查询。（1）温度、湿度监控：在机房关键设备工作间均需安装温度和湿度传感探头，对温度、湿度进行实时检测，在监视屏上显示各测点温度、湿度值。当检测值超出各工作区要求温、湿度上、下限值时，在监视屏对应数据旁用醒目标标志符闪动来

12、提醒该值超限报警。（2）配电系统监测：对配电（市电、UPS和中心电源系统）关键开关状态监视，实时监视电压（V）、电流（1）、频率（F）、有功功率（P）等内容。对市电电压、电流、开关状态和UPS运行状态、输入输出电压质量、负载电流进行监控，提前做出予警判定，立即检修，以保障整个机房用电设备安全。经过UPS自带通讯模块接口进行采集。（3）漏水系统监测：在围绕机房关键部位及空调机加湿管、抽湿管、本体等部位活动地板下，设置漏水传感器，一旦机房出现漏水情况，即在监控主机上显示漏水部位并报警。（4）门禁系统监控：在机房总入口设计一套磁卡门禁管理系统，由集中监控系统统一管理，机房门加装配套进出双向门禁控制器

13、和门锁。实现功效：能够当地和远程控制门开关、经过网络实时查询门禁状态、设定出入等级限制、许可进入时段等多项管理功效；机房门禁产生动作时实时统计门禁动作时间，对出入人员代码、出入时间、出入门号码进行登录和存放；对非法强行进入人门行为给予报警。（5）精密空调监控：精密空调压缩机状态、温湿度监测、风机状态、加热器状态、抽湿器状态、加湿器状态、漏水报警，运行状态、故障报警监测等。在工作站彩色图形显示、统计多种参数、状态、报警、运行时间、趋势图、动态步骤图，经过精密空调自带通讯模块接口进行采集。（6）消防监控：消防系统等设备性能、运行情况和故障报警。安装在机房和走廊吊顶感烟探测器及感温探测器发出信号时，

14、在值班监视器上显示火警方位，发出声光报警，使得监控人员能够快速采取下一步方法。（7）防雷系统监控：对防雷系统进行全方面监视，一旦系统故障立即报警。（8）机房集控系统能够经过声音、提醒和手机短信方法通知。（六） 机柜系统网络机房机柜以下图右侧所表示，累计8台网络机柜，2个列头柜：服务器机房累计16台网络机柜，2个列头柜（七） 防雷系统机房根据GB50057-94建筑物防雷设计规范作好防雷方法，在关键设备端需要设计完善防雷系统，电源防雷装置最少分为三级，对配电柜、UPS、服务器、关键交换机实施二级防雷。防雷器采取质量可靠设备，含有防浪涌、防雷击过流保护能力。（八） 接地处理方案一级防雷：配电柜电源

15、进线处接大容通量电源防雷器。变压器机壳、低压侧交流零线和和变压器相连电力电缆金属外护层应就近接地。二级防雷：UPS配电箱引出三根相线及零线接电源防雷器，箱内交流零线不作反复接地。机房内所布放交流供电线路中中性线（零线），应采取绝缘导线。交流配电箱上中性线（零线）聚集排应和机架正常不带电金属部分绝缘。三级防雷：使用专用避雷电源插座。机房内全部交直流用电及配电设备均应采取接地保护。交流保护接地线应从接地聚集线上专引，严禁采取中性线作为交流保护接地线。（九）消防系统消防系统是机房必不可少一个保障。机房消防必需采取无腐蚀作用气体自动灭火装置。气体灭火装置灭火性能可靠，不损坏电子设备，暗管布方法安装，不

16、影响机房整体效果。7.1 机房结构和防火分析1、机房内空间结构分为三层：地板下、天花下、和地板天花之间。2、通常机房起火原因关键是由电气过载或短路引发，燃烧关键区域通常在地板下或天花下，燃烧早期发出浓烟，温度上升相对较慢。7.2 消防报警系统设计7.2.1 火灾探测器位置设计1、每个机房分别在地板下、天花下安装两种不一样灵敏度感烟探测器，既在一个感烟探测器单位探测面积内设置二只不一样灵敏度探测器。2、每个机房地板下安装1个感烟探测器，1个感温探测器;天花上安装1个感烟探测器，1个感温探测器7.2.2 消防灭火系统设计1、依据机房特殊性，本系统采取气体灭火系统，并依据气体灭火要求，设计系统所需其

17、它辅助电气设备。2、设置一个气体紧急开启停止按钮，安装在灭火区域外墙上。3、设置二个声光报警器设置气体喷放指示灯，安装在灭火区域外一个。4、设置气体喷放指示灯一个，气体喷放指示灯是灭火控制器接到气体管路上压力开关动作后返回信号来控制。其它报警系统设备如手动报警按钮、消防警铃等，根据消防规范设置。（十） 安防门禁机房门禁系统多采取刷卡式门禁系统。该系统可灵活、方便地要求进入机房人员、时间、权限，预防人为原因造成破坏，确保机房安全。同时在各机房内部及周围设置16个球机摄像头，确保无死角监控。三、综合运维平台建设 现阶段业务管理情况分析：任何一个完善且健康数据中心必需管理是关键手段，怎样有效管理数据

18、中心和一个数据中心能否把业务运行健康关键。X市X局数据中心10几年来使用管理手段比较单一，只能处理独立业务和设备，对于数据中心整体运行情况缺乏一个直观分析。怎样让此次建设数据中心表现价值（一） 网络拓扑在本项目中，推荐采取由统一维运管理平台。能够提供多厂商、多个类IT资源监控，经过标准协议接口，RIIL能够完成对路由器、交换机、安全设备、无线设备、服务器、数据库、中间件、虚拟化设备、存放设备、应用、日志等监控，而且提供开放接口，用户能够自行编制监控脚本，完成对应资源监控。作为一款企业级、平台级综合监控管理平台，经过SNMP、ICMP、NetBIOS、ARP、Traceroute、Telnet等

19、多个手段能够良好支持众多厂商网络设备，包含Cisco、锐捷网络、华为、H3C等不一样厂商路由器、交换机、VPN、防火墙等设备。采取业界领先、独有DFC算法和CDP算法和种子IP算法，能够快速搜索全网直至PC端，自动发觉获取链路连接信息、设备状态等信息，可广泛应用于多厂商设备，对超大型网络，可设置分级、分别管理不一样子网。即使您网络中包含多家厂商网络设备，RIIL全部能够一网打尽，整网监控。此平台能够经过多个手段自动发觉、识别网络设备，依据自动发觉各类设备，经过智能拓扑算法，自动生成二层网络拓扑和三层网络拓扑结构图，提供了拓扑动态跟踪和更新功效，愈加有效反应网络拓扑现实状况，自动跟随用户网络情况

20、而改变，不需人工干预和调整。同时支持设定不一样发觉深度，和设定发觉网络范围，确保部分保密性相对较高子网不被发觉出来。发觉算法支持SNMP v1/v2/v3和Cisco CDP，确保兼容性统一维运管理信息化人财物，整合为面向管理者、基于业务、高度可视化运行管理平台，处理用户信息化投资怎样保障、增效、增值问题。实现统一IT基础设施管理、业务价值分析、数据中心机房环境、IT运维工作和绩效、IT自动化管理等，致力帮助用户构建完整IT管理体系，实现自动化、标准化、规范化，提升整体IT管理水平，保持IT业务良性、稳定和长久有效发展。（二） 业务健康程度提供关键业务系统健康指数曲线，并以K线图形式直观显示，

21、能够帮助用户了解在每一个时间范围内，这些关键业务系统或关键IT资源综合健康水平和改变趋势，从而使管理者能够直观看到IT部门对业务系统支撑质量。IT健康指数能够自定义健康资源对象、权重和监控周期，自定义IT健康指数折线图。选择任意时间节点，能够了解该时间点参与健康指数曲线计算业务系统健康度指标和关联告警信息。附图1. IT健康指数（三）机房管理伴随业务对于IT依靠度越来越高，IT部门所需要维护业务系统和IT资源数量更多，各资源间结构和种类愈加复杂，更多IT资源将愈加统一、集中地布署在数据中心机房中，那么机房环境改变将对IT资源正常运行产生直接影响，进而影响业务系统正常运行。所以，IT运维人员还需

22、要关注机房环境改变情况。另外，在节能减排、绿色环境保护社会环境下，IT运维人员还要愈加关注机房中各设备能源使用情况。基于这么应用需求，我们采取智能机房环境管理模块，经过TCP/IP网络，直接获取机房环境设备探头数据信息，并实时进行反馈和展现；对于不支持TCP/IP网络机房环境系统，也支持对机房环境管理软件进行集成形式达成综合性机房环境系统深入管理工作。经过该模块其它模块配合，综合业务管理平台能够实现从业务视角对IT资源和环境元素综合统一管理，让运维管理全方位、不留死角。r 机房监控范围系统支持对温湿度、烟感、水浸、空调、风机、照明、粉尘、电量仪、电量、电流、UPS、电池组、智能配电柜、交流配电

23、屏、直流配电屏、配电空开、防雷、发电机、电气火灾探测器、烟感、温感、消防报警机、视频、门禁、红外、门磁、玻璃破碎、机柜等29种资源统一监控，结合基础资源监控管理实现机房动力环境对业务影响一体化管理，同时提供告警及报表功效。r 机房监控卡片智能机房环境管理模块能够将每一个不一样机房环境原因全部做成一张元素卡片，经过元素卡片，用户能够看见这个元素真实造型，该元素中全部指标信息，甚至能够简单地了解该元素工作原理。附图2. 机房UPS监控卡片r 可视化视图RIIL提供机房可视化管理视图，从而多角度深层次展现和挖掘用户关注机房内部全部信息。支持机房布局3D效果可视化展现，经过全3D仿真虚拟机房环境，可洞

24、悉每一个机房元素，了解机房相关（机房信息、机房元素指标、机房内设备和元素告警）、机柜相关（包含机柜内设备信息、设备面板、机柜微环境等）、多种机房设施信息均以分级分层效果展现。通告3D可视化视图，支持从机房机柜设备设备面板可视化数据钻取路径。在可视化视图页面，还提供了用户常见工具，如搜索定位、可用空间查询、环境监控（包含空调监控、UPS监控、配电柜监控和视频监控等）、机房统计（包含能耗统计、空间统计、设备统计等）。附图3. 机房可用空间可视化视图r 自定义机房配置系统内置完整传感器图例（温度、湿度、滴露、浸水、监测仪、空调、烟感、门禁、配电箱、UPS、线式浸水传感器等），经过图形化所见即所得拖拽

25、设计方法，灵活设计机房、机柜结构图，设计完成机房结构图可被立即布署，大大降低实施及后续维护难度。传感器是发觉和监控机房元素工作站，系统支持监测仪添加、删除并完成发觉机房和元素操作，依据管理需要可灵活扩展监测范围。附图4. 自定义机房布局设计支持对机房环境中已发觉机房完成基础信息、机房元素、机房状态、PUE、合规性和机房权限等配置。也支持自定义创建新机房，依据管理需要编辑机房基础信息、元素管理、状态配置和权限设置即可完成新机房创建。u 监测仪设置：能够配置监测仪IP地址、用户名和口令，然后发觉机房环境监测元素。u 机房配置：能够设定机房基础信息。机房名称、合规性、管理员、地理位置、面积、描述等。

26、u 元素管理：可对目前机房已发觉机房元素进行修改元素名称和厂商等信息。u 状态配置：定义目前机房状态规则。u PUE设置：定义计算目前机房PUE值电量仪指标（PUE计算公式=数据中心总电量/IT设备负载电量）。u 合规性设置：匹配目前机房合规性等级设置温度和湿度指标值。系统提供默认值，用户可重新定义。u 机柜配置：设定机柜厂商、规格、名称、归属、机柜和设备放置关系等信息。支持批量导入和导出功效，并能够设置机柜能耗关系和微环境元素。u 权限设置：定义对目前机房拥有只读或可操作权限用户。u 非监管设备配置：对非智能设备或受保护不能监控设备，提供非监管设备配置作为入口，经过人工配置，实现这一类设备能

27、够在机房可视化视图中进行展现。u 策略配置：针对不一样机房元素指标信息进行配置，设定对应阈值范围，和和该范围相匹配事件告警信息。 （四）用户管理用户权限管理充足考虑多用户分权、分域管理，同时能够纤细划分用户资源、及系统权限。系统最高权限为超级管理员，超级管理员将含有最高权限，用于资源添加、用户添加、权限管理等。r 按部门进行用户管理首先按组织架构创建系统工作部门，此工作部门可根据实际用户部门组织架构进行设定。在设计部门组织时候可设定部门上级单位，同时可将用户逻辑分配在部门内。部门设置不仅关系到使用运维系统用户，同时也将在业务服务一览中能够进行对应关系设置，用来显示业务系统对用户影响。r 用户管

28、理用户管理能够添加用户具体信息，包含设定用户所在部门，相关具体信息将用作短信、邮件告警通知。在设定完用户后，就可设定用户所属角色及所在部门。r 角色管理角色管理将设定用户所属角色，这里将设定用户管理权限及系统使用权限。比如，用户所属为机房管理员，那么机房管理角色组将只能访问机房监控相关功效。r 用户域管理域管理关键用于含有上下级管理场景，下属节点含有多组织部门，同时各个组织内含有各自资源管理及用户管理。将能够设定多个子域，同时设定子域内管理用户及资源列表。r 功效权限管理角色组管理员将能够被设定所能访问系统界面，正确到每一个页卡。附图5. 功效授权r 用户和监控对象管理针对实时监控集成系统纳入

29、监控对象范围，和用户对监控对象关心程度，实现用户分权限访问监控资源。用户工作组将依据用户所管理资源不一样设定资源管理权限，比如主机管理职员作，设定管理权限为主机操作系统，那么在主机工作组下用户只能在监控系统中看到固定资源内容。四、信息数据安全建设现有架构安全平台因为管理员对于不一样厂商设备了解程度不一样，常常一台设备配置策略以后，就不再管理，假如不出问题，那台安全设备形同虚设，也不会有些人主动去查看安全日志。安全平台建成后，可将未来全部安全设备统一联动，避免安全设备出现零利用率情况。加紧等级保护建设进程。 （一）开放兼容搜集海量日志 构建安全大数据仓库1. 服务器、网络、安全等各类日志统一搜集

30、 2. 安全大数据仓库，将海量日志标准化为统一格式 （二）大数据分析 正确定位全网关键风险1. 日志、漏洞和资产大数据关联分析，正确定位安全问题2. 丰富关联分析模型，支持自定义设置，满足多种场景需求3. 内置漏扫引擎，按需进行漏扫计划（三）构建安全知识库 降低运维技术门槛1. 内置工单系统，步骤化安全管理，实时监控问题处理过程 2. 安全知识库，给技术人员提供技术和处理方案3. 知识库自行管理并不停丰富，提供更新服务（四）安全合规自查 等保自评轻松实现1. 基线扫描引擎，实现资产脆弱性感知和自查2. 脆弱性报表，方便周期性安全检验3. 内置等级保护、萨班斯等标准匹配模型，帮助用户自我测评五、

31、平台迁移（一） 现有业务搬迁将下列X网设备全部迁移至新机房。新网络架构以下图所表示：信息中心原有启明星辰TJCS-NS-VM 、H3C SecPath T1030 、H3C SecPath 网页防篡改 旁挂于安全资源池，经过SDN技术对内网进行防护H3C 7510仍然用于和出口带宽互联，配置4块ACG板卡确保和互联网会话建立，配置2块防火墙板卡，保障外网不会遭受大流量攻击。H3C 10500原用于整网关键，并配置1块IPS板卡，继续使用H3C 9512用连接各区互联网业务，继续使用。（二） 设备扩容1. 增加一台和原相关键相同型号交换机，并增加业务板卡，形式双关键备份，增加网络可靠性。确保原相

32、关键不会因为宕机造成业务中心。2. 将安全区域改为”SDN”即”软件定义网络”架构，实现关键及安全区域完全实现软件化引流，实现动态策略计划，对于转发速度要求高数据进行快速转发，对于安全性高数据流量进行引流分析过滤，当单个设备出现故障时，经过内置软件策略能够实现拓扑自动变更，网络转发自动恢复。3. 增加互联网业务数据缓存系统，提升互联网访问速度，同时可用于X资源分发，加速三通两平台建设4. 增加IT运维系统，功效包含业务服务、告警中心、资源管理（资源、拓扑和无线）、脚本监控、统计报表组件。支持网络虚拟化。支持网络虚拟化。可对机房UPS、温湿度、火警、烟感等监控探头实施监控5. 增加负载均衡设备，对服务器区业务降低并发压力。6. 增加保垒机一台，对管理员管理行为进行审计，对于恶意更改和非法登陆做到根本防范。